专利名称:一种克隆设备的检测方法和装置的制作方法
技术领域:
本发明涉及通信领域的分组域系统,尤其涉及一种克隆设备的检测方法和装置。
背景技术:
在分组域系统中,一般都采用鉴权、授权和计费(AAA)服务器作为用户认证中心, 来实现对接入分组网络的用户或设备进行认证和授权。为了防止用户账号和密码被盗用, 通常将用户的账号与终端设备标识在AAA服务器中进行绑定,来达到保护用户安全的目 的。例如在CDMA (Code DivisionMultiple Access,码分多址)分组网络中,采用将用户账 ^^ffl^W IMSKlnternational Mobile Subscriber Identification Number, MU^Jl 用户识别码)号码在AAA服务器中实现绑定方式;在WiMAX系统中还加入了公钥基础设施 (Public Key Infrastructure,缩写 PKI)架构,采用 χ. 509 证书与终端设备的 MAC (Media Access Control,媒体接入控制)地址绑定的方式,实现对设备合法性的认证。但是当终端 设备标识连同用户账户密码被盗用之后,不法分子可以使用获得信息克隆出与被盗终端设 备信息完全一致的设备,用于非法接入网络,对于接入网络服务器和AAA服务器来说,无法 区分哪个终端设备是合法用户;如果将合法用户和非法用户都接入到网络中后,非法用户 使用网络发生的费用都会记到合法用户上,给运营商和合法用户都带来了经济上的损失。虽然在分组网络的接入服务器上,可以实现克隆终端的检测功能,保证一个设备 标识只能允许一个用户接入,同时发现相同终端设备试图发起多个接入会话时可以识别出 所述终端设备可能被克隆,发起告警或其他方式通知运营商或用户。但当克隆设备从不同 接入服务器接入时,接入服务器就无能为力了,因为多个接入服务器间无法共享终端会话 fn息ο
发明内容
本发明要解决的技术问题是提供了一种克隆设备的检测方法和装置,避免了一个 账户由多个终端设备同时接入网络的情况,减少了运营商和合法终端用户经济上的损失。为解决上述技术问题,本发明提供了一种克隆设备的检测方法,所述方法包括鉴 权、授权、计费(AAA)服务器接收到终端的接入请求时,如果检测到已存在与所述终端的设 备标识信息相同的终端的会话,则表示存在克隆设备。进一步,所述方法还包括所述AAA服务器保存已接入网络的终端的会话信息,所 述会话信息包含所述已接入网络的终端的设备标识信息。进一步,所述AAA服务器检测到克隆设备后,发送告警信息给所述终端和与所述 终端具备相同设备标识信息的终端;和/或,发送告警信息给运营商。进一步,当发现存在克隆设备后,所述AAA服务器执行如下操作之一允许所述终端接入,强制与所述终端具有相同设备标识信息的终端下线;或者,允许所述终端接入,保持与所述终端具有相同设备标识信息的终端的会 话;
或者,拒绝所述终端接入,强制与所述终端具有相同设备标识信息的终端下线;或者,拒绝所述终端接入,保持与所述终端具有相同设备标识信息的终端的会 话;
或者,允许所述终端接入,告知所述终端所属的接入服务器和与所述终端具有相 同设备标识信息的终端所属的接入服务器检测到克隆设备,由所述接入服务器处理。进一步,所述AAA服务器在允许所述终端接入网络前,或在所述终端接入网络后, 检测是否存在克隆设备。本发明还提供了一种克隆设备的检测装置,位于鉴权、授权、计费(AAA)服务器 上,其中,所述检测装置,用于接收到终端的接入请求时,如果检测到已存在与所述终端的 设备标识信息相同的终端的会话,则表示存在克隆设备。进一步,所述检测装置还用于保存已接入网络的终端的会话信息,所述会话信息 包含所述已接入网络的终端的设备标识信息。进一步,所述检测装置还用于检测到克隆设备后,发送告警信息给所述终端和与 所述终端具备相同标识信息的终端;和/或,发送告警信息给运营商。进一步,所述检测装置还用于当发现存在克隆设备后,执行如下操作之一允许所述终端接入,强制与所述终端具有相同设备标识信息的终端下线;或者,允许所述终端接入,保持与所述终端具有相同设备标识信息的终端的会 话;或者,拒绝所述终端接入,强制与所述终端具有相同设备标识信息的终端下线;或者,拒绝所述终端接入,保持与所述终端具有相同设备标识信息的终端的会 话;或者,允许所述终端接入,告知所述终端和与所述终端具有相同设备标识信息的 终端所属的接入服务器检测到克隆设备,由所述接入服务器处理。进一步,所述检测装置是用于在允许所述终端接入网络前,或在所述终端接入网 络后,检测是否存在克隆设备。本发明解决了在分组域网络中避免非法克隆终端接入网络的问题,使运营商和合 法终端用户及时发现被非法克隆的设备,采取合适的处理方案,减少经济上的损失。与先 有技术相比,本发明不需要增加额外设备,不需要修改接入服务器和终端,对系统的影响最 小,实现成本和难度都很低。
图1为本发明采用的装置结构图;图2为本发明实现的克隆设备检测流程图;图3为本发明第一种策略在CDMA系统中实现克隆设备检测功能的流程图;图4为本发明第一种策略在WiMAX系统中实现克隆设备检测功能的流程图。
具体实施例方式下面结合附图对本发明作进一步详细的说明。本发明的基本思想是鉴权、授权、计费(AAA)服务器接收到终端的接入请求时,如果检测到已存在与所述终端的设备标识信息相同的终端的会话,则表示存在克隆设备。基于上述思想,本发明提供了一种克隆设备的检测方法,所述方法包括鉴权、授 权、计费(AAA)服务器接收到终端的接入请求时,如果检测到已存在与所述终端的设备标 识信息相同的终端的会话,则表示存在克隆设备。所述方法还包括所述AAA服务器保存已 接入网络的终端的会话信息,所述会话信息包含所述已接入网络的终端的设备标识信息。 所述AAA服务器检测到克隆设备后,发送告警信息给所述终端和与所述终端具备相同设备 标识信息的终端;和/或,发送告警信息给运营商。当发现存在克隆设备后,所述AAA服务 器执行如下操作之一允许所述终端 接入,强制与所述终端具有相同设备标识信息的终端 下线;或者,允许所述终端接入,保持与所述终端具有相同设备标识信息的终端的会话;或 者,拒绝所述终端接入,强制与所述终端具有相同设备标识信息的终端下线;或者,拒绝所 述终端接入,保持与所述终端具有相同设备标识信息的终端的会话;或者,允许所述终端接 入,告知所述终端所属的接入服务器和与所述终端具有相同设备标识信息的终端所属的接 入服务器检测到克隆设备,由所述接入服务器处理。其中,所述AAA服务器在允许所述终端 接入网络前,或在所述终端接入网络后,检测是否存在克隆设备。如图2所示,本发明实现的克隆设备检测流程图,具体描述如下(201)终端1向接入服务器1发起接入请求,接入服务器1收到后发送接入请求消 息给AAA服务器,AAA服务器允许终端1接入,并保存会话信息,会话信息中至少包括设备 标识信息和接入服务器标识信息;(202)终端2向接入服务器2发起接入请求,接入服务器2收到后发送接入请求消 息给AAA服务器;(203) AAA服务器根据接入请求中携带的设备标识信息作为条件在AAA服务器保 存的会话信息中查询是否已经有相同设备标识信息的终端通过接入服务器接入的会话存 在;(204)若有,则认为此设备标识信息对应的终端设备被克隆,执行克隆设备处理流 程;(205)若没有,认为此设备标识信息对应的终端为正常设备,允许终端2用户接 入,并保存会话信息。其中,在本发明另一实施例中,步骤(203)之前,AAA服务器接收到接入请求消息 后,允许终端2用户接入,并保存会话信息,然后再执行步骤(203),进行克隆设备检测。本发明在实现克隆设备检测的基础上,还提供了相应的处理策略,具体描述如 下步骤1 终端1向接入服务器1发起接入请求;步骤2 接入服务器1收到接入请求消息后,确定为终端1进行鉴权,发送接入请 求消息给AAA服务器;步骤3 =AAA服务器收到接入请求消息后对终端1进行合法性的认证,根据接入请 求中的携带的设备标识信息作为条件在AAA服务器保存的会话信息中查询是否已经有相 同设备信息的终端通过入服务器接入的会话存在;若没有,给接入服务器1返回接入响应 消息,并保存会话信息,会话信息中至少包括设备标识信息和接入服务器标识信息;步骤4 接入服务器1根据AAA服务器发送的接入响应消息,允许终端1接入分组网络使用分组业务;步骤5 终端2向接入服务器2发起接入请求;步骤6 接入服务器2收到接入请求消息后,确定为终端2进行鉴权,发送接入请 求消息给AAA服务器;步骤7 =AAA服务器对终端2进行合法 性认证,根据接入请求中的携带的设备标识 信息作为条件在AAA服务器保存的会话信息中查询是否已经有相同设备标识信息的终端 通过入服务器接入的会话存在;若检测到终端1的设备标识信息与终端2的设备标识信息 相同,且终端1已经接入网络并正在使用分组业务,则表示终端1和终端2之间存在克隆设 备,可以采用下面五种策略之一进行处理第一种策略,允许终端2接入,强制终端1下线;步骤8A :AAA服务器给接入服务器2返回接入响应消息,同时向接入服务器1发送 强制终端1下线的请求,且AAA服务器触发克隆终端告警信息,通知运营商及时处理;步骤9A 接入服务器2根据AAA服务器发送的接入响应消息,允许终端2接入网 络,使用分组业务;步骤IOA 与此同时,接入服务器1收到AAA的强制终端1下线请求,强制终端1下 线,此时终端1异常下线,会引起用户警惕,也会及时通知运营商协同处理。第二种策略,拒绝终端2接入,保持终端1会话;步骤8B =AAA服务器拒绝终端2接入,给接入服务器2返回拒绝消息,同时,AAA触 发克隆终端告警信息,通知运营商及时处理。第三种策略,拒绝终端2接入,强制终端1下线;步骤8C :AAA服务器拒绝终端2接入,给接入服务器2返回拒绝消息,同时,向接入 服务器1发送强制终端1下线的请求,且AAA服务器触发克隆终端告警信息,通知运营商及 时处理;步骤9C 与此同时,接入服务器1收到AAA服务器的强制终端1下线请求,强制终 端1下线,此时终端1异常下线,会引起用户警惕,也会及时通知运营商协同处理。第四种策略,允许终端2接入,保持终端1会话;步骤8D =AAA服务器给接入服务器2返回接入响应消息,同时,AAA服务器触发克 隆终端告警信息,通知运营商及时处理;步骤9D 接入服务器2根据AAA服务器发送的接入响应消息,允许终端2接入分 组网络,使用分组业务。第五种策略,允许终端2接入,保持终端1会话,通知接入服务器1和接入服务器 2发现克隆设备,由接入服务器1和接入服务器2处理。接入服务器1可以继续保持终端1 的会话,也可以强制终端1下线;接入服务器2可以保持终端2的会话,也可以强制终端2 下线。以下实施例以⑶MA和WiMAX系统为例,但不限于⑶MA和WiMAX系统,所有采用鉴 权、授权及计费AAA服务器实现接入鉴权功能的系统,都可应用本发明所提供的方法实现 克隆设备检测的功能。图3为按本发明第一种策略在CDMA系统中实现克隆设备检测功能的流程图,此实 施例中,AAA服务器返回给分组数据服务节点PDSN接入响应后,立即触发强制终端下线请求。其步骤具体描述如下步骤301 移动终端MTl与分组数据服务节点PDSW之间进行链路控制协议(Link Control Protocol,简称LCP)及鉴权过程的协商;步骤302 分组数据服务节点PDSm将接入请求消息发送给AAA服务器;步骤303 :AAA服务器将接入响应 消息发给分组数据服务节点PDSN1,包含移动终 端MTl使用CDMA分组网络的授权信息,并记录移动终端MTl的会话信息,包括分组数据服 务节点PDsm的标识、分组数据服务节点PDsm的ip地址、mti的终端标识国际移动用户 i只另Il石马 IMSI (InternationalMobile Subscriber Identification Number)等;步骤304 移动终端MTl与分组数据服务节点PDSW之间进行IP控制协议(IP Control Protocol,简称IPCP)阶段的协商,分组数据服务节点PDSm将分配的IP地址信 息发送给移动终端MTl ;步骤305 移动终端MT2与分组数据服务节点PDSN2之间进行LCP (Link Control Protocol 链路控制协议)及鉴权过程的协商;步骤306 分组数据服务节点PDSN2将接入请求消息发送给AAA服务器;步骤307 :AAA服务器将接入响应消息发给分组数据服务节点PDSN2,包含移动终 端MT2使用CDMA分组网络的授权信息,并记录移动终端MT2的会话信息,包括分组数据服 务节点PDSN2的标识、分组数据服务节点PDSN2的IP地址、MT2的终端标识国际移动用户 识别码IMSI等;步骤308 移动终端MT2与分组数据服务节点PDSN2之间进行IP控制协议(IP Control Protocol,简称IPCP)阶段的协商,分组数据服务节点PDSN2将分配的IP地址信 息发送给移动终端MT2 ; 步骤309 =AAA服务器检测到移动终端MTl与移动终端MT2具有相同的IMSI,则触 发强制移动终端MTl下线请求Disconnect Message,发送给分组数据服务节点PDSNl,根据 记录的移动终端MTl的会话信息,下线请求消息中至少包括分组数据服务节点PDSm的标 识、移动终端MTl的IMSI等;步骤310 =AAA服务器触发克隆终端告警,告警信息中包括移动终端MTl的IMSI、 分组数据服务节点PDSm的标识和IP地址、分组数据服务节点PDSN2的标识和IP地址等;步骤311 移动终端MTl结束数据业务,退出CDMA分组网络。图4为按本发明第一种策略在WiMAX系统中实现克隆设备检测功能的流程图,此 实施例AAA服务器返回给接入服务网关ASN-GW接入响应后,立即触发强制终端下线请求。 其步骤具体描述如下步骤401 :WiMAX终端UEl通过无线接口经由WiMAX的基站BS (BaseStation)向接 入服务网关ASN-GWl请求接入网络;步骤402 接入服务网关ASN-GWl将接入请求消息发送给AAA服务器;步骤403 =AAA服务器将接入响应消息发给接入服务网关ASN-GWl,包含WiMAX终 端UEl使用WiMAX网络的授权信息,并记录WiMAX终端UEl的会话信息,包括接入服务网 关ASN-GWl的标识、接入服务网关ASN-GWl的IP地址、UEl的终端标识MAC (Media Access Control)地址、UEl终端接入用户名等;步骤404 接入服务网关ASN-GWl向WiMAX终端UEl响应认证成功消息,根据授权信息会话,允许WiMAX终端UEl使用WiMAX网络;步骤405 =WiMAX终端UE2通过无线接口经由WiMAX的基站BS向接入服务网关 ASN-GW2请求接入网络;步骤406 接入服务网关ASN-GW2将接入请求消息发送给AAA服务器;步骤407 =AAA服务器将接入响应消息发给接入服务网关ASN-GW2,包含WiMAX终 端UE2使用WiMAX网络的授权信息,并记录WiMAX终端UE2的会话信息,包括接入服务网关 ASN-GW2的标识、接入服务网关ASN-GW2的IP地址、UE2的终端标识MAC地址、UE2终端接 入用户名等;步骤408 接入服务网关ASN-GW2向WiMAX终 端UE2响应认证成功消息,根据授权 信息会话,允许WiMAX终端UE2使用WiMAX网络;步骤409 =AAA服务器检测到WiMAX终端UEl与WiMAX终端UE2具有相同的MAC 地址,则触发强制WiMAX终端UEl下线请求DiscormectMessage,发送给分组服务网关 ASN-GWl,根据记录的WiMAX终端UEl的会话信息,下线请求消息中至少包括分组服务网关 ASN-Gffl的标识、WiMAX终端UEl的MAC地址等;步骤410 =AAA服务器触发克隆终端告警,告警信息包括WiMAX终端UEl的MAC地 址、分组服务网关ASN-GWl的标识和IP地址、分组服务网关ASN-GW2的标识和IP地址、 WiMAX终端UEl接入时使用的用户名、WiMAX终端UE2接入时使用的用户名等;步骤411 =WiMAX终端UEl结束数据业务,退出WiMAX网络。本发明还提供了一种克隆设备的检测装置,位于鉴权、授权、计费(AAA)服务器 上,其中,所述检测装置,用于接收到终端的接入请求时,如果检测到已存在与所述终端的 设备标识信息相同的终端的会话,则表示存在克隆设备。所述检测装置还用于保存已接入 网络的终端的会话信息,所述会话信息包含所述已接入网络的终端的设备标识信息。所述 检测装置还用于检测到克隆设备后,发送告警信息给所述终端和与所述终端具备相同设备 标识信息的终端;和/或,发送告警信息给运营商。所述检测装置还用于当发现存在克隆设 备后,执行如下操作之一允许所述终端接入,强制与所述终端具有相同设备标识信息的终 端下线;或者,允许所述终端接入,保持与所述终端具有相同设备标识信息的终端的会话; 或者,拒绝所述终端接入,强制与所述终端具有相同设备标识信息的终端下线;或者,拒绝 所述终端接入,保持与所述终端具有相同设备标识信息的终端的会话;或者,允许所述终端 接入,告知所述终端所属的接入服务器和与所述终端具有相同设备标识信息的终端所属的 接入服务器检测到克隆设备,由所述接入服务器处理。所述检测是用于在允许所述终端接 入网络前,或在所述终端接入网络后,检测是否存在克隆设备。本发明在对已有系统改动及影响最小的情况下实现了克隆设备检测的功能,在用 户接入认证时识别是否存在克隆设备的可能,给出告警并进行相应的处理,提醒运营商和 终端用户设备被克隆,从而达到尽可能检测到克隆设备的目的。以上实施方式仅是对本发明内容的解释而非限制,凡基于本发明思想或者原则所 做的任何修改、等同替换或者改进,都应该包含在本发明的保护范围之内。
权利要求
1.一种克隆设备的检测方法,其特征在于,所述方法包括鉴权、授权、计费(AAA)服务器接收到终端的接入请求时,如果检测到已存在与所述终 端的设备标识信息相同的终端的会话,则表示存在克隆设备。
2.如权利要求1所述的方法,其特征在于,所述方法还包括所述AAA服务器保存已接 入网络的终端的会话信息,所述会话信息包含所述已接入网络的终端的设备标识信息。
3.如权利要求1所述的方法,其特征在于,所述AAA服务器检测到克隆设备后,发送告 警信息给所述终端和与所述终端具备相同设备标识信息的终端;和/或,发送告警信息给 运营商。
4.如权利要求1所述的方法,其特征在于,当发现存在克隆设备后,所述AAA服务器执 行如下操作之一允许所述终端接入,强制与所述终端具有相同设备标识信息的终端下线; 或者,允许所述终端接入,保持与所述终端具有相同设备标识信息的终端的会话; 或者,拒绝所述终端接入,强制与所述终端具有相同设备标识信息的终端下线; 或者,拒绝所述终端接入,保持与所述终端具有相同设备标识信息的终端的会话; 或者,允许所述终端接入,告知所述终端所属的接入服务器和与所述终端具有相同设 备标识信息的终端所属的接入服务器检测到克隆设备,由所述接入服务器处理。
5.如权利要求1所述的方法,其特征在于,所述AAA服务器在允许所述终端接入网络 前,或在所述终端接入网络后,检测是否存在克隆设备。
6.一种克隆设备的检测装置,位于鉴权、授权、计费(AAA)服务器上,其特征在于,所述 检测装置,用于接收到终端的接入请求时,如果检测到已存在与所述终端的设备标识信息 相同的终端的会话,则表示存在克隆设备。
7.如权利要求6所述的装置,其特征在于,所述检测装置还用于保存已接入网络的终 端的会话信息,所述会话信息包含所述已接入网络的终端的设备标识信息。
8.如权利要求6所述的装置,其特征在于,所述检测装置还用于检测到克隆设备后,发 送告警信息给所述终端和与所述终端具备相同设备标识信息的终端;和/或,发送告警信 息给运营商。
9.如权利要求6所述的装置,其特征在于,所述检测装置还用于当发现存在克隆设备 后,执行如下操作之一允许所述终端接入,强制与所述终端具有相同设备标识信息的终端下线; 或者,允许所述终端接入,保持与所述终端具有相同设备标识信息的终端的会话; 或者,拒绝所述终端接入,强制与所述终端具有相同设备标识信息的终端下线; 或者,拒绝所述终端接入,保持与所述终端具有相同设备标识信息的终端的会话; 或者,允许所述终端接入,告知所述终端所属的接入服务器和与所述终端具有相同设 备标识信息的终端所属的接入服务器检测到克隆设备,由所述接入服务器处理。
10.如权利要求6所述的装置,其特征在于,所述检测装置是用于在允许所述终端接入 网络前,或在所述终端接入网络后,检测是否存在克隆设备。
全文摘要
本发明公开了一种克隆设备的检测方法和装置,所述方法包括鉴权、授权、计费(AAA)服务器接收到终端的接入请求时,如果检测到已存在与所述终端的设备标识信息相同的终端的会话,则表示存在克隆设备。本发明解决了在分组域网络中避免非法克隆终端接入网络的问题,使运营商和合法终端用户及时发现被非法克隆的设备,采取合适的处理方案,减少经济上的损失。与先有技术相比,本发明不需要增加额外设备,不需要修改接入服务器和终端,对系统的影响最小,实现成本和难度都很低。
文档编号H04W12/12GK102098674SQ20101056017
公开日2011年6月15日 申请日期2010年11月25日 优先权日2010年11月25日
发明者丁馥昊, 周俊超, 朱戈 申请人:中兴通讯股份有限公司